使用Lync 2013 基于角色的权限控制:RBAC 给用户分配指定的操作权限

 

使用场景:

在大型的Lync统一沟通系统的日常运维中,我们需要为不同角色的管理员分配不同的Lync管理权限,在Lync Server 2013上面就使用了基于角色的权限控制:RBAC ,它里面分了多种权限角色,包括 CsAdministrator,CsUserAdministrator,CsVoiceAdministrator,CsServerAdministrator,CsViewOnlyAdministrator,CsHelpDesk等等,不同的角色有不同的Lync管理权限,

例如,当我们只需要分配启用用户与停用用户这两项功能给Lync的帐号管理员时,就需要用到RBAC来分配权限了。还有一种情况,当CsUserAdministrator的管理员还要管理一部分Voice Policy的任务时,这时就需要自定义一个权限组来完成这一任务。

 

实现目的:

1. 如何把Lync内置的角色组分配给管理员?

2. 如何查找Lync内置的角色组都包含了什么可用的操作或可用的命令?

3.如何自定义角色组?

 

具体操作:

1. 如何把Lync内置的角色组分配给管理员?

在安装Lync的过程中已经自动在ADUC上面创建多个定义好的角色,如CSUserAdministrator, CSVoiceAdministrator等,如下图:

image

 

我们只需要简单地把相关的用户增加到相关的角色组上面,就拥有了对应的权限了,如下图:

image

 

然后再使用刚刚那个用户打开Lync控制面板,就会发现一些非Voice相关的功能就不能再用了,如下

image

 

那么,究竟这些角色组里面具体有一些什么功能呢?下图列举了一些

image

 

2. 如何查找Lync内置的角色组都包含了什么可用的操作或可用的命令?

如果觉得还不够详细,我还想知道具体到哪些命令能用,哪些不能用的话,请使用以下命令,它会把CsUserAdministrator里面所用到所有命令都列举出来:

Get-CsAdminRole CsUserAdministrator| Select-Object �CExpandProperty cmdlets

 

3.如何自定义角色组?

在实际的使用过程中,你可能需要为CsUserAdministrator管理员增加或删除一些不需要的功能,以满足各种情况的需求,方法如下:

Step1: 在ADUC中创建一个通用安全组,取名为CsUserPlus

image

Step2: 运行以下命令,它会以CsUserAdministrator为模版,并作用在特定的OU下面:

New-CsAdminRole -Identity "CsUserPlus" -Template "CsUserAdministrator" -UserScopes "OU:ou=test,dc=contoso,dc=cn"


Step3:在上文我们已经知道了CsUserAdministrator具体有一些什么命令,现在我们可以把里面一些没有用的给删除掉,例如如下:

Set-CsAdminRole �CIdentity  "CsUserPlus"  -Cmdlets @{Remove='Disable-CsMeetingRoom','Enable-CsMeetingRoom'}

当然,我们还可以增加一些其它命令,以满足各种情况的需要,例如增加一个触发CMS同步的命令:

Set-CsAdminRole �CIdentity  "CsUserPlus"  -Cmdlets @{Add='Invoke-CsManagementStoreReplication'}

最后是我给一个用户做的一个自定义角色,通过适当的增删命令,就成以下这样子了,只留下了两个需要用到的功能,其它都限制掉了:

image

 

 

相关链接:

在 Lync Server 2013 中规划基于角色的访问控制

RBAC in Lync: Who can do What on Which Objects?

你可能感兴趣的:(用户,角色,管理员)